Comment activer la protection contre les logiciels publicitaires ou PUA dans Windows Defender

Windows Defender peut détecter et supprimer les logiciels malveillants et les virus, mais il n'attrape pas les programmes potentiellement indésirables ou les crapwares par défaut. Cependant, il existe une fonctionnalité d'activation que vous pouvez activer en modifiant le registre, pour que Windows Defender analyse et élimine les logiciels publicitaires, les PUA ou les PUP en temps réel.

Programme potentiellement indésirable (PUP), application potentiellement indésirable (PUA) et potentiellement indésirable Les logiciels (PUS) font référence à la catégorie de logiciels considérés comme indésirables, non fiables ou indésirable. Les PPI incluent les logiciels publicitaires, les numéroteurs, les faux programmes « optimiseurs », les barres d'outils et les barres de recherche fournis avec les applications.

Les PUA ne relèvent pas de la définition de « programme malveillant » car ils ne sont pas malveillants, mais certains PUA sont néanmoins classés comme « à risque ».

En bout de ligne : Vous n'avez pas besoin d'éléments « potentiellement indésirables » dans votre système, quel que soit le niveau de risque, à moins que vous ne pensiez sérieusement que le les avantages offerts par un programme particulier l'emportent sur les risques ou les inconvénients créés par le chiot qui accompagnait le principal programme.

Maintenant, voici comment activer l'analyse et la suppression des logiciels publicitaires, PUP/PUA à l'aide de Windows Defender (sous Windows 8 et versions ultérieures).

• Activer la fonctionnalité de protection PUA de Windows Defender

1. 1. Activer la protection PUA à l'aide de PowerShell
   2. Activer la protection PUA manuellement [Emplacement du registre 2]
   3. Activer la protection PUA manuellement [Emplacement du registre 3]

• Comment vérifier si PUA Protection fonctionne ?

Activer l'analyse en temps réel de Windows Defender pour les logiciels publicitaires, PUA ou PUP

Il existe trois manières différentes d'activer la protection PUA dans Windows Defender, mais je ne sais pas quel paramètre prévaut en cas de conflit. L'emplacement du registre est différent dans chaque méthode décrite. Il est conseillé de n'utiliser que un des méthodes suivantes pour éviter toute confusion.

Méthode 1: Activer la protection PUA à l'aide de PowerShell

Démarrez PowerShell (powershell.exe) en tant qu'administrateur.

Exécutez la commande suivante et appuyez sur ENTRÉE :

Set-MpPreference -PUAProtection 1

Cette commande PowerShell ajoute une valeur de registre à la clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

• Valeur: PUAProtection
• Données: 1 – active la protection PUA | 0 – désactive la protection

Notez que la définition manuelle de la valeur de registre fonctionnera toujours. Mais le chemin de registre ci-dessus est protégé et ne peut pas être modifié à l'aide de l'éditeur de registre, sauf si vous le modifiez en tant que SYSTEM.

Méthode 2: Activer la protection PUA manuellement [Emplacement du registre 2]

Cette méthode utilise la même valeur de Registre mais l'implémente sous la clé de Registre Policies.

Démarrez Regedit.exe et accédez à la clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

Créez une valeur DWORD nommée PUAProtection

Double-cliquez sur PUAProtection et définissez ses données de valeur sur 1.

Méthode 3: Activer la protection PUA manuellement [Emplacement du registre 3]

Démarrez l'Éditeur du Registre (regedit.exe) et accédez à la clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

Créez une sous-clé nommée "MpEngine"

Sous MpEngine, créez une valeur DWORD nommée MpEnablePus

Double-cliquez sur MpEnablePus et définissez ses données de valeur sur 1

Cela configure Windows Defender pour permettre l'analyse et la suppression en temps réel des éléments « potentiellement indésirables ».

Quittez l'éditeur de registre.

Sur ces trois méthodes, 1 et 2 ne sont pas encore documentées par Microsoft, mais j'ai réussi à les découvrir en jouant avec PowerShell. Les méthodes 1 et 2 ont été testées dans un système exécutant Windows 10. La méthode 3 a été initialement publiée par le blog MMPC.

Appliquer les modifications

Effectuez l'une des opérations suivantes pour appliquer les modifications :

• Désactivez la protection en temps réel, puis réactivez-la.
• Mettre à jour les définitions de Windows Defender
• Redémarrer Windows

PUA ne sera bloqué qu'au moment du téléchargement ou de l'installation. Un fichier sera inclus pour le blocage s'il remplit l'une des conditions suivantes :

1. Le fichier est en cours d'analyse à partir du navigateur
2. Le fichier a Marque du Web (ID de zone) défini
3. Le fichier est dans le dossier Téléchargements
4. Le fichier dans le dossier %temp%

La protection PUA de Windows Defender fonctionne-t-elle sur des systèmes qui ne font pas partie d'un réseau d'entreprise ?

Cette fonctionnalité d'activation de Windows Defender a été annoncée l'année dernière par le Blog Microsoft Malware Protection Center (MMPC). Mais, comme le billet de blog MMPC ne fait référence qu'aux systèmes «d'entreprise», certains utilisateurs à domicile peuvent se demander si la fonction de détection PUA fonctionne ou non sur des ordinateurs autonomes.

Oui. L'analyse PUA de Windows Defender fonctionne également dans les systèmes autonomes.

Le test suivant montre que la détection de Windows Defender PUA fonctionne certainement dans les systèmes qui ne font pas partie d'un réseau de domaine.

Portail de sécurité MMPC a la liste complète des « programmes potentiellement indésirables » ou des « applications potentiellement indésirables », chaque nom de menace est préfixé par « PUA: ».

Par example, PUA: Win32/CandyOpen est un PUP/PUA fourni avec Magical Jelly Bean Keyfinder et d'autres programmes.

(Magical Jelly Bean Keyfinder, sinon c'est un logiciel utile.)

Avant d'activer la protection PUA de Windows Defender, j'ai téléchargé le Keyfinder de Magicaljellybean et j'ai essayé de l'exécuter sur un ordinateur autonome Windows 10 v1607. Windows Defender m'a permis de télécharger le programme d'installation et de l'exécuter.

Après avoir défini les données de valeur "MpEnablePus" sur 1 à l'aide de l'éditeur de registre et mis à jour les définitions, Windows Defender a bloqué l'exécution du programme d'installation.

De plus, lorsque j'ai essayé de télécharger une nouvelle copie du programme d'installation de Keyfinder, le fichier a été bloqué car il a atterri dans le dossier Téléchargements ou %temp%. Le résultat était le même lorsque j'ai choisi un dossier autre que "Téléchargements".

Et le message de notification Windows Defender s'est affiché.

Considérant que le message de notification textuellement est différent pour les détections de « malware »; auquel cas, il serait dit « Trouvé des logiciels malveillants ».

Et le PUA a été mis en quarantaine, comme indiqué dans l'historique d'analyse de Windows Defender.

Magical Jelly Bean Keyfinder semble regrouper différents PUA dans son programme d'installation de temps en temps. Lors d'un test en mai 2019, l'installateur contenait un différents PUA (nommé PUA: Win32/Vigua. UNE) avec le niveau de menace « Sévère ».

Le message de notification est différent cette fois. Ça disait "L'Antivirus Windows Defender a bloqué une application susceptible d'effectuer des actions indésirables sur votre appareil.”

Conclusion: La fonction de détection de Windows Defender PUA peut être utile pour les systèmes qui n'exploitent pas déjà un solution anti-malware premium tierce (par exemple, Malwarebytes Antimalware Premium) avec surveillance en temps réel aptitude. J'espère que Microsoft ajoute une option d'interface graphique pour activer la fonction d'analyse PUA dans Windows Defender, comme le Balayage périodique limité fonctionnalité d'inscription (et l'option GUI) dans Windows 10.